文｜数据猿

最近，“开盒”成了大热词。

起因是百度副总裁谢广军13岁的女儿在网上对一位网友“开盒”，直接曝光对方身份证号、手机号、家庭住址，导致其遭遇网暴。

事件曝光后，公众立刻对百度的数据安全性提出质疑：难道一个“熊孩子”能轻松通过父亲的权限查看百度用户数据？如果是这样，百度的隐私保护岂不是形同虚设？

面对舆论压力，百度迅速展开内部调查。安全负责人陈洋回应称，公司内部对数据进行了匿名化、假名化处理，并严格执行权限分离制度，任何个人（包括谢广军在内）都无法直接获取用户数据。此外，他强调涉事信息并非来自百度，而是泄露自海外的非法数据库——“社工库”。

但社工库真有这么强大？为了一探究竟，我亲自“开盒”了自己，接下来就尽可能全面地展示这场让我起满“鸡皮疙瘩”的体验。

一个残酷的现实社工库一直都存在，不少人在互联网上“裸奔”

社工库，全称社会工程学数据库（Social Engineering Database），是由黑客、诈骗者或其他恶意分子通过网络钓鱼、网页抓取、数据泄露或系统漏洞等手段，非法收集用户的姓名、身份证号、各大平台账号、密码等敏感信息，并将其整理成数据库。这类数据库往往被用于“人肉搜索”或作为敛财工具，在黑市上兜售，助长网络诈骗和隐私侵犯。

在谷歌搜索“社工库”时，相关结果中被置顶的是一个GitHub Repo，列出了接近20家提供社工库服务的资源，包括网站和Telegram Bot，其中绝大多数通过Telegram Bot进行自动化交易。

为了验证这些服务的可用性，我随机选择了几家进行测试。

第一家是一个网站服务，声称其收录了全球多个重大数据泄露事件及数据，包括亿级订单快递数据、推特2亿用户数据等。用户只需在搜索框中输入QQ、邮箱、身份证号或手机号等信息，在支付一定费用后，便可获得详细的个人资料。

在我输入自己的手机号之后，它给出了该手机号绑定了某个微信自动付款缴费和微博账号的记录。

随后，我尝试了一些Telegram Bot服务，其中一家拥有介绍称：“可以查询泄漏的身份信息、手机机主、开房记录、快递地址、贷款记录、车主信息、常用密码、社交账号关联等，请勿滥用。”

在我输入了一个已知的身份证号之后，系统返回了正确的姓名信息。这是免费版服务，如果需要解锁更多数据，则需支付70 USDT（约70美元）或通过微信/支付宝支付550人民币成为会员。

为了一探究竟，我开通了会员。然而，没想到首先迎接我的，就是一个令人寒颤的体验。

在会员服务中，有一项名为“猎魔”的功能，操作非常简单——只需输入三项基本信息：目标的姓名、大致出生年份和户籍所在地，系统就能输出身份证结果。

猎魔功能

如果对方的名字较为常见，系统会返回所有符合条件的身份证信息供你筛选；而若名字罕见，结果往往就是精准命中。你便能轻而易举地掌握目标的完整身份证号。

一旦掌握了身份证号信息，这就像打开了“魔盒”，接下来你可以选择“高级人工服务”，解锁更为敏感的隐私数据，包括但不限于：

户籍信息：现居住地址、户口性质等；

社保记录：缴纳明细与参保情况；

犯罪记录：是否存在案底或涉案历史；

身份证使用轨迹：酒店入住、车票购票、快递收发等活动记录；

名下资产查询：房产、车辆、银行卡号等。

社工库服务范围

这些数据的价格按服务难易程度浮动，从100元到12000元不等，耗时也从几分钟到三天不等。也就是在开通会员的基础上，你想获得更多的详细数据，仍然需要额外支付费用。

为了验证其真伪，我尝试了最便宜的服务。向人工客服提供了自己的身份证号后，几小时之后，对方便发来了我的户籍信息——精准无误。

向客服追问数据来源时，他拒绝回答，只是强调“保真”。

在观察了多个Bot之后，我发现它们早已形成规模化运营，不少月活用户已破万。其中，一个Bot的月活用户竟高达4万多人，其通知频道的订阅者更是超过28万人，可见受众之广。

更让人不寒而栗的是，这些Bot并不满足于贩卖数据，还主动收购新数据。在Bot的广告栏中，赫然写着：

“长期收购社工数据，欢迎供应商联系。”

这意味着，源源不断的个人隐私信息正被黑市收割，变成非法利润的燃料。

还有Bot在通知中标明：

“本团队拒绝向16岁以下用户提供服务（人穷事多），未满16岁请勿打扰！”

可见不少青少年也因为冲动或好奇，想要使用这样的服务。

在这场隐私交易的背后，还有一条隐秘的金融通道——波场链（TRON）。

在沟通之后，我注意到这些社工库服务几乎全部推荐用户通过波场链来进行USDT支付。USDT是一种与美元1:1挂钩的加密货币，而波场链因转账成本低、速度快且匿名性强，已然成为灰产分子的首选工具。在波场链上，USDT被广泛用于赌博、诈骗、洗钱等非法活动。

根据Bitrace的报告，2022年9月至2023年9月期间，波场链上与非法交易相关的资金规模高达170.7亿美元USDT，占比显著高于其他区块链网络。而波场的创始人孙宇晨，也因与多国监管机构存在摩擦，频繁面临诉讼，使得该链的合规性与可信度备受质疑。

Telegram为信息交流与交易提供“安全”屏障，波场链则确保资金流动隐匿且高效，两者的结合让非法交易变得更难追查，让执法机构在数据取证、资金溯源和司法追责上步步受限。

通过Telegram来交易个人信息早已不是新鲜事。早在2020年3月19日，Phala Network 创始人兼 CEO 佟林便发布调查文章《隐私一览无余！微博泄露事件卧底调查报告》，揭露了黑灰产在 Telegram上经营社工库的乱象。

Phala Network 是一个隐私计算云平台，专注于为Web3.0 应用提供数据隐私保护和计算能力。作为隐私计算领域的创业者，佟林天然地对数据安全尤为敏感。在文章中，他以自己的手机号为样本，在社工库中查询了姓名、邮箱、密码等信息，结果均为本人真实数据，印证了社工库的真实性与隐私威胁。

在发布文章之后，佟林被提供社工库服务的灰产从业者“人肉”了，他不仅遭受了短信轰炸，他的手机号、真实姓名、身份证正反面，被散布在近三万人的Telegram群组中。

“从事这个领域的都知道社工库，大家也清楚自己在网上其实是裸奔的。但绝大多数从业者不会挑明揭露这件事，因为这会影响自己的安全。”佟林说。他也坦言，追查幕后主谋的难度极大，想要找到真正的源头几乎不可能。

“隐私至上”的Telegram为什么成了灰产的温床？

2013年，Pavel Durov及其兄弟Nikolai Durov在俄罗斯创立了Telegram，希望能为用户提供一个安全、私密且免受政府监控和黑客攻击的消息平台。弟弟Pavel Durov 作为 Telegram 的门面和发言人，活跃在台前，而哥哥Nikolai Durov 则更多重心在幕后技术开发。

Pavel Durov

从创立之初Telegram便注重隐私保护，其设计理念围绕着云架构、端到端加密和自毁消息等功能展开。此外，Telegram对审查的拒绝也是其核心优势之一，这使得它区别于WhatsApp等主流社交平台，吸引了全球大量注重隐私和言论自由的用户。

2018年，俄罗斯政府因Telegram的加密功能及其拒绝交出加密密钥，试图封锁该应用。Pavel Durov坚决反抗，公开宣誓不遵从俄罗斯当局的要求，最终导致Telegram在俄罗斯被禁。

Telegram坚守隐私、自由和去中心化的立场，赢得了大量忠实用户，特别是在那些对政府干预和监控高度敏感的国家。它成为了一个没有审查、无束缚的沟通空间，吸引了全球各地那些追求隐私保护、言论自由以及安全沟通的用户群体。

然而，这种立场也为非法活动提供了生存的土壤。由于其端到端加密技术的强大保护，平台上的消息内容难以被追踪和审查，使得一些灰产从业者、犯罪分子甚至恐怖组织找到了便利的沟通渠道。对于社工库来说，Telegram是一个理想的藏身之所，既能保证信息传播的效率，交易的丝滑进行，又能有效规避监管和打击。

正因如此，越来越多的国家和监管机构开始要求Telegram加强对非法内容的监控与管理，以确保其平台不被滥用，尤其是在涉及恐怖主义、毒品走私、诈骗和未成年保护等方面。

2025年2月，澳大利亚在线安全监管机构因Telegram未及时处理平台上的恐怖主义和儿童虐待内容，向其罚款近100万澳元。

Pavel Durov本人更是于2024年8月24日在巴黎附近的机场被法国警方逮捕，面临多项指控，其中包括未能有效遏制Telegram平台上的犯罪活动，协助传播儿童性剥削材料、毒品交易、欺诈以及拒绝配合执法部门的要求等。这也是首次有科技公司高管因其平台上发生的犯罪活动而被逮捕。

Pavel Durov被法国警方逮捕的新闻

被捕后，Pavel Durov被禁止离开法国，并被置于司法监督之下。直到2025年3月17日，法国检察官办公室宣布暂时解除了对Durov的旅行禁令，他已返回迪拜的家中，但需要在4月7日之前回到法国。

Pavel Durov在自己的Telegram频道上回应称，调查仍在进行，并强调Telegram始终履行并超越了法律义务，在内容审核、与政府合作以及打击犯罪方面做出了大量努力。他的律师团队也在积极辩护，试图证明Telegram并未有意放任犯罪行为。

Pavel Durov在3月17日宣布已经返回到迪拜家中

尽管面临法律和舆论压力，Telegram的用户规模仍在持续增长。最新数据显示，Telegram的月活跃用户数已突破10亿，日均使用时长达41分钟，成为全球第二大即时通讯应用，仅次于WhatsApp（此排名不包含微信）。

Pavel Durov在3月19日宣布Telegram月活用户突破10亿

不得不承认，虽然Telegram为社工数据的交易提供了平台，它仅仅是这个产业链的中下游环节。即使平台加强了监控和审查，若源头没有得到有效的管控，问题依然难以根治。

以Phala Network创始人佟林为例，他在Telegram上发现了自己的个人信息泄漏，而这些信息最初通过微博泄露出去。2020年3月，微博发生了大规模的数据泄漏事件，数亿用户的敏感数据，包括手机号码、用户ID、昵称、头像、粉丝数及所在地等，均被泄露。这些数据最终流入黑市，并通过Telegram等平台进行非法交易。

在之前提到的社工库网站上，它毫不避讳地列出了数据来源：亿级订单快递数据、广东驾校学员信息、阅文集团2000万用户数据、陌陌3000万条用户信息等，触目惊心。更讽刺的是，连一向标榜安全与隐私的Telegram也未能幸免，其4000多万被泄漏的用户数据也在社工库收录范围内。

无论是电商平台、社交媒体、金融机构，还是其他托管用户数据的企业，都必须承担起保护数据安全的责任。在数据收集和存储过程中，企业应通过强有力的加密技术来确保数据安全，同时加强网络安全防护，确保符合合规性要求。

如果企业未能采取有效的安全措施，如加密、数据审计、身份验证等，黑客就能通过钓鱼攻击、SQL注入等手段轻易获取大量用户数据。一旦这些数据泄漏，它们便成为社工库的一部分，进而被转化为灰色产业的商品。

只有从源头上加强数据保护，才能有效避免数据泄漏，并防止它们流入像Telegram这样的非法交易平台。这不仅是技术层面的挑战，更是企业和社会的共同责任。

欧美历史上的几次重大数据泄漏事件都是如何处理的？

在数据保护立法方面欧美国家领先于我们，那么他们是如何应对数据泄漏事件的？我盘点了几个典型案例：

1. Equifax数据泄漏事件

2017年，美国的消费者信用报告机构Equifax遭遇了严重的数据泄漏事件，影响了1.47亿美国公民、1520万英国公民以及约19,000名加拿大公民的敏感数据。这些信息包括社会安全号码、出生日期、地址以及驾照号码等。

赔偿方案：作为与美国联邦贸易委员会（FTC）、消费者金融保护局（CFPB）和50个州达成的和解协议的一部分，Equifax同意向受影响的美国消费者支付多达7亿美元的赔偿金。受影响的客户不仅可以获得现金赔偿，还可以选择接受信用监控服务。此外，Equifax还为消费者提供了免费的身份盗窃保护服务。对于那些遭遇财务损失的客户，还可以申请额外的补偿。

2. British Airways数据泄漏

2018年，British Airways（BA）遭遇了数据泄漏，导致约50万名客户的信用卡信息、个人身份信息和支付数据被泄露。这些信息被黑客通过网站的漏洞盗取。英国信息专员办公室（ICO）对此展开调查，并指责BA未能保护用户数据。

赔偿方案：BA被罚款1.83亿英镑，并向受影响的客户提供退款、额外的身份保护服务以及一定形式的经济赔偿。

3. Marriott国际酒店数据泄漏

2018年，Marriott国际酒店集团披露了一个大规模的数据泄漏事件，约有5亿名客户的个人信息被黑客窃取。泄漏的内容包括客户的姓名、护照号码、地址、电话号码、电子邮件地址、日期等。

赔偿方案：Marriott在事后宣布，将为受影响的客户提供免费的身份保护服务，包括信用监控和欺诈检测。在美国和欧洲，许多受影响的客户可以获得相应的补偿。此外，Marriott还面临了一些国家监管机构的罚款，例如英国信息专员办公室对Marriott公司处以了9900万英镑的罚款。

可以看出，由于欧美在数据保护方面立法较早，具有成熟的法律体系和监管机制，并且在法规深度和执行力度上仍领先，尤其是在罚款机制和跨境数据保护方面。

中国的《个人信息保护法》（PIPL）和《数据安全法》分别在2021年实施，标志着中国在数据保护方面的重要进展。这些法规加强了数据处理的合规性要求，如数据同意、访问、删除和纠正等权利，但在执行细节和力度上仍有待加强，未来随着市场和技术的发展，可能逐步弥补这一差距。

除了法律层面的约束，企业在数据泄漏事件发生后，如何应对同样至关重要。透明化的信息披露、及时的补救措施以及良好的用户沟通机制，能够有效减少用户的不安，降低企业的声誉损失。企业应承担相应责任，提供身份保护、信用监控等服务，并建立合规体系，以确保未来的数据安全。

当然，也希望企业和数据托管机构能吸取教训，在追求商业利益的同时，肩负起对用户数据的保护责任，让社工库彻底消失。

至于我们普通人能做些什么？我的建议是：减少在小平台留信息，选择可信的大平台；限制APP权限，关闭不必要授权；身份证复印件打水印，标注用途防止滥用；避免蹭WiFi，防止数据被劫持；社交平台少晒隐私，防止被不法分子利用；警惕数据共享，使用隐私浏览器。

希望在未来，我们每个人都能衣冠整齐地行走在互联网上，而不是赤裸奔跑。